VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-1
VŠFS; Aplikovaná informatika - 2006/2007 2 Osnova I principy informační bezpečnosti; program informační bezpečnosti v podniku; bezpečnostní program - požadavky na pracovníky podniku; procesy v oblasti bezpečnosti informací; bezpečnostní informační technologie; realizace bezpečnostního programu;
VŠFS; Aplikovaná informatika - 2006/2007 3 Literatura Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 Kolektiv: Informační bezpečnost, Tate International, 2001 Časopis DSM - Data security management Doporučená Smejkal V.; Rais K.:Řízení rizik, Grada 2003 Frimmel M.: Elektronický obchod, Prospektum 2002 Smejkal a kol. Právo informačních a telekomunikačních systémů, Beck 2001
VŠFS; Aplikovaná informatika - 2006/2007 4 Úvod Cíl podnikové informační bezpečnosti: vytvořit efektivní program informační bezpečnosti, kdy jsou v rovnovážném stavu rizika podniku a vynakládané investice na jeho rozvoj. což, vyžaduje zajistit správnou a vyváženou kombinací tří základních aspektů: technologií procesů personálu (uživatelů)
VŠFS; Aplikovaná informatika - 2006/2007 5 Principy informační bezpečnosti Informační bezpečnost = ochrana informací před jejich neoprávněným přístupem, modifikací a/nebo zničením a to buď náhodnými vlivy nebo úmyslně
VŠFS; Aplikovaná informatika - 2006/2007 6 Principy informační bezpečnosti Základní principy 1. oddělení povinností nepostradatelní lidé 2. zamezení jednotného přístupu ke zdrojům informací nebezpečné kombinace zdrojů 3. zákaz převodu a ukrývání informačních aktiv monitorování činností 4. oddělení produkce dat od jejich ověřování nezávislá kontrola
VŠFS; Aplikovaná informatika - 2006/2007 7 Úvod Vzájemná provázanost tří základních aspektů Technologie Procesy Lidé
VŠFS; Aplikovaná informatika - 2006/2007 8 Lidé Lidé tj. personál podniku patří mezi nejrizikovější část podnikového bezpečnostního systému eliminování vlivu lidského faktoru spočívá zejména v: bezpečnostním školení pracovníků podniku; jednoznačné organizační bezpečnostní struktuře se stanovenými zodpovědnostmi a pravomocemi;
VŠFS; Aplikovaná informatika - 2006/2007 9 Lidé Personální strategie Cíl: Snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. Zahrnutí bezpečnosti do pracovních povinností Taktika prověřování uchazečů Smlouva o mlčenlivosti
VŠFS; Aplikovaná informatika - 2006/2007 10 Lidé Školení Cíl: Zajistit, aby si uživatelé byli vědomi bezpečnostních hrozeb a otázek s nimi spjatých a byli připraveni se podílet na dodržování politiky bezpečnosti informací školení bezpečnostních předpisů školení bezpečnostních postupů
VŠFS; Aplikovaná informatika - 2006/2007 11 Lidé Reakce na bezpečnostní incidenty a chyby Cíl: Minimalizovat škody způsobené bezpečnostními incidenty a chybami, monitorování, náprava. Hlášení bezpečnostních incidentů Hlášení bezpečnostních slabin Hlášení nesprávné funkce SW Správa incidentů lidský faktor
VŠFS; Aplikovaná informatika - 2006/2007 12 Lidé Organizační struktura administrativa vedoucí manažer bezpečnosti informací bezpečnostní tým bezpečnostní povinnosti zaměstnanců podniku ------------------------------------------------- Rozhodující otázka začlenění bezpečnosti do struktury podniku
VŠFS; Aplikovaná informatika - 2006/2007 13 Procesy Práce s citlivým i daty Schválený požadavek na ř ešení bezpeč nosti Analýza rizik Bezpeč nostní politika Bezpeč nostní dokum enty Im plem entace bezpeč nostních aspektů Kontrola
VŠFS; Aplikovaná informatika - 2006/2007 14 Procesy Musí být provedeny následující kroky: a) zformulována politika bezpečnosti informací. b) vymezen rozsah systému řízení bezpečnosti informací. Rozsah závisí na charakteru podniku, na zpracovávaných informačních aktivech a používaných technologiích. c) zpracováno vhodné hodnocení rizik. Hodnocení rizik musí identifikovat hrozby, které na aktiva působí, slabiny a dopady na podnik a musí stanovit míru rizika. d) formulovány oblasti rizik, která mají být podchycena, jejich výběr vychází z politikz bezpečnosti informací podniku z požadovaného stupně záruk. e) vybrány náležité bezpečnostní cíle a opatření.
VŠFS; Aplikovaná informatika - 2006/2007 15 Procesy klasifikace informací Hlavní důvod pro zahájení procesu řešení bezpečnosti = zhodnocení zpracovávaných informací => uspořádání informací podle kategorií vypracování klasifikačního schématu
VŠFS; Aplikovaná informatika - 2006/2007 16 Procesy klasifikace informací Stupně klasifikace informací Informace pro vnitřní potřebu podniku Zvlášť citlivé inf. Strategické inf. cca 80% 10% 1% Zbytek tvoří publikovatelné informace
VŠFS; Aplikovaná informatika - 2006/2007 17 Procesy Důležitá etapa před zpracováním bezpečnostní politiky analýza rizik Cíl: identifikace příčin, které mohou mít nežádoucí dopad na informace zpracovávané v podniku; zjištění rizik, které s určitou pravděpodobností mohou ovlivnit informační prostředí; stanovení škod, které může dané riziko způsobit; návrh způsobů eliminace rizik.
VŠFS; Aplikovaná informatika - 2006/2007 18 Procesy Typy analýzy rizik: 1.elementární (základní) analýza rizik; 2.neformální analýza rizik; 3.komplexní (podrobná) analýza rizik; 4.kombinovaná analýza rizik. V současné době se preferuje přístup založený na neformální analýze rizik
VŠFS; Aplikovaná informatika - 2006/2007 19 Procesy Bezpečnostní politika podniku základní dokument, který je schválen vedením podniku a vytváří prostor pro proces řešení informační bezpečnosti. Definuje cíle Vymezuje postupy a způsoby Stanovuje pravomoci a zodpovědnosti při realizaci bezpečnostních opatření
VŠFS; Aplikovaná informatika - 2006/2007 20 Program podnikové informační bezpečnosti Program je vychází ze stanovení perimetrů digitálních hranic mezi prostředím podniku a vnějším elektronickým světem Tento přístup vychází z oddělení jednotlivých prostředí do jednotlivých informačních (digitálních) zón a poskytuje ochranu dat na definovaných bezpečnostních vrstvách informačního prostředí
VŠFS; Aplikovaná informatika - 2006/2007 21 Program podnikové informační bezpečnosti Vícevrstvová informační bezpečnost servisní protokoly informační aktiva aplikace programová volání procesy vzdálená volání procedur systémové prostředí operační systémy aplikační SW HW systémy přenosu FW Intranet Extranet router switch gateway
VŠFS; Aplikovaná informatika - 2006/2007 22 Osnova II principy informační bezpečnosti; program informační bezpečnosti v podniku; bezpečnostní program - požadavky na pracovníky podniku; procesy v oblasti bezpečnosti informací; bezpečnostní informační technologie; realizace bezpečnostního programu;